Amazon Bedrock 代理基于身份的策略示例 - Amazon Bedrock
Amazon Bedrock 代理所需的权限允许用户查看关于代理的信息并调用代理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Bedrock 代理基于身份的策略示例

选择一个主题,查看可以附加到 IAM 角色的 IAM 策略示例,以便为 使用 AI 代理自动执行应用程序中的任务 中的操作预置权限。

Amazon Bedrock 代理所需的权限

要让 IAM 身份能够使用 Amazon Bedrock 代理,您必须为其配置必要的权限。您可以附加AmazonBedrockFullAccess策略以向该角色授予适当的权限。

要将权限限制为仅用于 Amazon Bedrock 代理中的操作,请将以下基于身份的策略附加到 IAM 角色:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": " permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:ListAgentKnowledgeBases",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent",
                "bedrock:AssociateAgentCollaborator",
                "bedrock:DisassociateAgentCollaborator",
                "bedrock:GetAgentCollaborator",
                "bedrock:ListAgentCollaborators",
                "bedrock:UpdateAgentCollaborator"
            ],
            "Resource": "*"
        }
    ]   
}

您可以通过省略操作或指定资源条件键来进一步限制权限。IAM 身份可以对特定资源调用 API 操作。例如,UpdateAgent 操作只能用于代理资源,InvokeAgent 操作只能用于别名资源。对于不在特定资源类型上使用的 API 操作(例如 CreateAgent),请将 Resource 指定为 *。如果您指定的 API 操作无法用于策略中指定的资源,Amazon Bedrock 将返回错误。

允许用户查看关于代理的信息并调用代理

以下是您可以附加到 IAM 角色的示例策略,以允许该角色查看有关代理的信息或编辑具有 ID 的代理,AGENT12345以及使用该 ID 与其别名进行交互ALIAS12345。例如,您可以将该策略附加到仅具有对代理进行问题排查和更新的权限的角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}